A pesar de los buenos deseos, el cambio de año no parece traer cambios en lo referente a la ciberseguridad. Tras los mediáticos ataques a la Universitat Autònoma de Barcelona el pasado mes de octubre (que afectó a 1.200 servidores, 10.000 ordenadores y 50.000 usuarios, y del cual aún se está recuperando) o a MediaMarkt en noviembre, el primer domingo del 2022 saltó la noticia del ataque a la UOC, la Universitat Oberta de Catalunya.

La incidencia, que coincide con las fechas de entregas del semestre, ha imposibilitado a los alumnos el acceso al campus virtual, y los responsables de la universidad han ofrecido flexibilidad para compensar las molestias. La incidencia ha sido mucho menor que la de la UAB ya que este centro, de carácter únicamente virtual, cuenta con un sistema de detección y respuesta ante ciberamenazas. En 24h la mayoría de servicios volvían a estar operativos.

Secuestros digitales cada vez más habituales

Esta noticia pone una vez más sobre la mesa el problema creciente del ransomware. Los más habituales son los de encriptación (cifrado o criptoransomware) y los de bloqueo (lockscreen) respectivamente. En ambos casos los ciberdelincuentes acostumbran a pedir un rescate, una cantidad de dinero para restablecer los sistemas y no borrar los datos sensibles.

Tras tratar en otro artículo sobre las preguntas más habituales sobre este tipo de ataques, ahora queremos centrarnos en los detalles de lo que es recomendable hacer y no hacer en el momento de convertirnos en víctima.

¿Has sido víctima de ransomware? Así debes actuar

Contención inicial

Tras detectar el ataque los expertos en ciberseguridad recomiendan no apagar ni reiniciar los equipos, ni encender equipos de la misma red que ya estuvieran apagados. De esta manera no se alteran las evidencias que pueden ayudar a los investigadores.

A continuación, hay que poner el foco en las copias de seguridad: ver si se han visto afectadas y desconectarlas de la red, para evitar que se vean afectadas.

Finalmente hay que cambiar inmediatamente las credenciales de los administradores de la red.

¿Pagar el rescate? ¡No!

Una de las primeras y más lógicas reacciones al recibir un ataque ransomware es el pánico, ya que puede suponer la perdida para siempre de información sensible. Y esto puedo provocar que la opción de pagar el rescate sea una de las que se valoren en primera instancia.

Los expertos insisten en no hacerlo por diversas razones: no hay nada que asegure que, si se hace la transferencia, todo vuelva a nuestro control. Además, el pago incentiva aún más a los grupos de cibercriminales, que pueden intentar repetir el ataque sabiendo que somos una víctima que ya ha pagado una vez.

Contactar con las autoridades pertinentes

Tras recibir un ataque ransomware, ciudadanos, empresas, instituciones y proveedores de servicios digitales deben comunicar a la institución correspondiente de cada país que tenga la función de CERT (Computer Security Response Team). En el caso de España es INCIBE, el Instituto Nacional de Ciberseguridad. También se recomienda denunciarlo ante los grupos especializados de la Guardia Civil (Grupo de Delitos Telemáticos) o la Policia Nacional (Brigada Central de Investigación Tecnológica).

Se recomienda recopilar toda la información y ficheros disponibles sobre el ataque para facilitar la investigación.

Recuperar la actividad en la medida de lo posible

En casos como los ataques a instituciones como universidades, uno de los objetivos de sus responsables es recuperar lo antes posible la actividad.

Para ello, tras desinfectar los equipos afectados, se puede intentar la recuperación de los datos, o lo que es lo mismo, desencriptar los archivos comprometidos. En este sentido una herramienta muy útil es la página nomoreransom.org, una iniciativa colaborativa con una base de datos de ataques en la que es posible encontrar la solución (si existe).

En caso de no conseguirlo, el último paso es restaurar las copias de seguridad disponibles.

Mejor prevenir que intentar curar

Los ataques ransomware están al orden del día, y cada vez son más sofisticados. Lo ideal es que estos consejos de actuación formen parte de un Plan de Actuación ante ciberataques, un protocolo muy recomendable para cualquier institución o empresa cuya actividad en la red sea crítica.

Sin embargo, es mejor prevenir que curar, y por eso es muy importante la educación y concienciación de los miembros de la organización, así como la activación de software de protección y de copias de seguridad.